IoTセキュリティ / ワイヤレスセキュリティ
サイバーセキュリティの研究者たちは、Sonosのスマートスピーカーに存在する脆弱性を発見しました。これにより、悪意のある個人がユーザーを密かに盗聴できる可能性があります。
NCCグループのセキュリティ研究者、アレックス・プラスケット氏とロバート・エレラ氏によれば、「これらの脆弱性は、Sonosのセキュアブートプロセス全体におけるセキュリティの破綻を引き起こし、リモートで複数のデバイスを空中から侵害できることを可能にしました」。
これらの欠陥のいずれかを成功裏に悪用することで、リモートの攻撃者はSonosデバイスからの音声を秘密裏にキャプチャできる可能性があります。これらの脆弱性は、2023年10月および11月に出荷されたSonos S2リリース15.9およびSonos S1リリース11.12以前の全バージョンに影響を与えます。
これらの発見は、Black Hat USA 2024で発表されました。2つのセキュリティ欠陥の説明は以下の通りです。
- CVE-2023-50809 – Sonos One Gen 2のWi-Fiスタックにおける脆弱性で、WPA2の4ウェイハンドシェイク中に情報要素を適切に検証しないことから、リモートコード実行が可能となる。
- CVE-2023-50810 – Sonos Era-100のファームウェア内のU-Bootコンポーネントにおける脆弱性で、Linuxカーネル権限での持続的な任意コード実行を可能にする。
NCCグループは、Sonos Era-100およびSonos Oneデバイスでリモートコード実行を達成するためにブートプロセスを逆アセンブルした結果、CVR-2023-50809がSonos Oneのワイヤレスドライバーにおけるメモリ破損脆弱性の結果であると述べています。このワイヤレスドライバーは、MediaTekによって製造されたサードパーティのチップセットです。
「wlanドライバーにおいて、不適切な入力検証により境界外書き込みが発生する可能性があります」とMediaTekはCVE-2024-20018に関するアドバイザリーで述べています。「これにより、追加の実行権限なしでローカルな特権昇格が生じる可能性があります。悪用にはユーザーの操作は必要ありません」。
この方法で得られた初期アクセスは、デバイス上で完全なシェルを取得し、ルートの文脈で完全に制御するための一連のポストエクスプロイト手順への道を開き、その後、スピーカーに近い物理的距離からマイクロフォンの音声をキャプチャできる新しいRustインプラントを展開することが可能になります。
もう一つの欠陥、CVE-2023-50810は、Era-100デバイスを侵害するためのセキュアブートプロセスにおける脆弱性の連鎖に関連しており、実質的にセキュリティ制御を回避してカーネルの文脈で署名されていないコードの実行を可能にします。
これにより、N日特権昇格の欠陥と組み合わせてARM EL3レベルのコード実行を促進し、ハードウェアに基づく暗号秘密を抽出することができます。
「この研究から導き出される重要な結論は2つあります」と研究者たちは述べています。「一つは、OEMコンポーネントは社内コンポーネントと同じセキュリティ基準を満たす必要があるということです。ベンダーは、自社製品の全ての外部攻撃面に対する脅威モデリングを実施し、全てのリモートベクトルが十分に検証されていることを確認すべきです」。
「セキュアブートの脆弱性に関しては、ブートチェーンを検証し、テストを行い、これらの脆弱性が導入されないようにすることが重要です。ハードウェアおよびソフトウェアに基づく攻撃ベクトルの両方を考慮する必要があります」。
この発表は、ファームウェアセキュリティ企業Binarlyが、ほぼ10のベンダーからの数百のUEFI製品がPKfailとして知られる重大なファームウェアサプライチェーン問題に脆弱であることを明らかにしたことと関連しています。これは攻撃者がセキュアブートを回避し、マルウェアをインストールすることを可能にします。
具体的には、数百の製品がアメリカンメガトレンドインターナショナル(AMI)によって生成されたテストプラットフォームキーを使用しており、これはリファレンス実装に含まれていた可能性があり、下流の供給チェーンのエンティティによって安全に生成された別のキーに置き換えられることを期待していました。
「問題は、UEFI用語でプラットフォームキー(PK)として知られるセキュアブートの「マスターキー」に起因します。これは、独立したBIOSベンダー(IBV)によって生成され、異なるベンダー間で共有されるため、信頼できません」と述べ、これはx86およびARMアーキテクチャの両方に影響するクロスシリコンの問題であると説明しています。
「このプラットフォームキーは[…] OEMやデバイスベンダーによってしばしば置き換えられず、信頼できないキーを持つデバイスが出荷される結果になります。PKのプライベート部分にアクセスできる攻撃者は、キー交換キー(KEK)データベース、シグネチャデータベース(db)、禁止シグネチャデータベース(dbx)を操作することで、簡単にセキュアブートを回避することができます」。
その結果、PKfailは悪意のある者がブートプロセス中に任意のコードを実行することを許可し、セキュアブートが有効であっても、悪意のあるコードに署名し、BlackLotusのようなUEFIブートキットを配布することを可能にします。
「PKfailに脆弱な最初のファームウェアは2012年5月にリリースされ、最新のものは2024年6月にリリースされました」とBinarlyは述べています。「全体として、これは12年以上にわたる最も長く続くサプライチェーンの問題の一つです。」